Vertrauliche Daten schützen: Das neue Klassifikationssystem der ETH
Ab Dezember 2021 wird für die ETH Zürich ein neues Klassifizierungssystem für Informationen gelten. Was sich ?ndert und wie Sie die Klassifizierung von Daten dafür nutzen k?nnen, Ihre Daten besser und gezielter zu schützen, erfahren Sie in diesem Artikel.
Um den Austausch, die Nutzung sowie den Schutz von Forschungs- und Verwaltungsdaten an der ETH zu erleichtern, wurde am 12. Juli 2021 ein neues Klassifizierungssystem für die Vertraulichkeit von Informationen eingeführt. Gleichzeitig wurde das bisherige Klassifizierungssystem in der Weisung ?Informationssicherheit an der ETH Zürich? angepasst. Einen ?berblick über die Neuerungen findet sich in dem Intern aktuell-Artikel ?Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu?.
Warum eine Klassifizierung notwendig ist
Manche Daten in Forschung, Lehre oder Administration der ETH sind vertraulich und weisen deshalb einen hohen Schutzbedarf auf, um entweder die Sicherheit von Personen, Forschungsergebnissen oder Prozessen zu gew?hrleisten. Die Klassifizierung der Vertraulichkeit von Daten erm?glicht es den klassifizierenden Stellen (z.B. Urheber, Informationseignerinnen und -eigner) für andere zu signalisieren, welchen Schutzbedarf ihre Daten (z.B. ein Dokument) ben?tigen bzw. welche Schutz?massnahmen zu ergreifen sind.
Die Informationseignerinnen und -eigner sind verantwortlich für die Klassifizierung aller Informatio?nen, die durch sie oder in ihrem Auftrag erhoben und bearbeitet werden. Das k?nnen beispielsweise Professoren/Professorinnen, Stabs- oder Abteilungsleitende sein. Mithilfe der Klassifizierung legt der oder die Informationseignerin bzw. -eigner fest, welche Schutzmassnahmen für ihre Informationen verbindlich gelten (vgl. Anhang 2 der Weisung ?Informationssicherheit an der ETH Zürich?).
Vier Klassifizierungs-Stufen
In der Weisung ?Informationssicherheit? sind in Art. 22 diese vier Stufen für Vertraulichkeit definiert:
1. ?FFENTLICH: Als ??ffentlich? gelten Informationen, die von der zust?ndigen Stelle zur Ver?ffentlichung freigegeben werden. Das sind beispielsweise die Websites der ETH, Medienmitteilungen, ver?ffentliche Dissertationen oder bereits ver?ffentlichte Forschungsdaten. Hier sind keine besonderen Schutzmassnahmen n?tig.
2. INTERN: Als ?intern? gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich beeintr?chtigen kann. Demzufolge sind diese Informationen in der Regel nur für Angeh?rige der ETH Zürich bestimmt. Darunter fallen z.B. Vorlesungsskripte, das interne Adressverzeichnis der ETH oder Townhall-Meetings. ?Interne? Informationen sind für Angeh?rige der ETH zug?nglich (nur an Berechtigte); für diese Daten gilt z.B. die sogenannte Clear Desk Policy. Das bedeutet, dass diese Daten nicht offen am Arbeitsplatz liegen dürfen, wenn der oder die Mitarbeitende nicht am Arbeitsplatz ist; und der Computer bei Abwesenheit natürlich immer gesperrt sein muss. Alle Informationen in der ETH, falls nicht anders gekennzeichnet, gelten als ?intern?.
3. VERTRAULICH: Als ?vertraulich? gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich erheblich beeintr?chtigen kann. Diese Daten sollten nur einem bestimmten Personenkreis, einer Funktion oder Rolle zug?nglich sein. Dazu geh?ren zum Beispiel Leistungsbeurteilungen jedweder Art, Personaldossiers, Finanz- oder Risikoberichte, besonders schützenswerte Personendaten oder Forschungsdaten vor ihrer Ver?ffentlichung. Diese Art von Daten muss unter Verschluss gehalten bzw. elektronisch entsprechend gesichert werden. VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).
4. STRENG VERTRAULICH: Als ?streng vertraulich? gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich schwerwiegend beeintr?chtigen kann. Diese Art von Daten zieht die h?chste Form der Sicherheit nach sich. Sie dürfen nicht in externe Cloud-Dienste, sind nur für einen namentlich genannten Personenkreis zug?nglich (Genehmigung für Weitergabe nur durch Informationseignenden) und k?nnen nur unter den h?chsten Sicherheitsvorkehrungen weitergegeben werden, z.B. unter Geheimhaltungsvereinbarungen, Dokumentation der Zugriffsberechtigungen für elektronische Dokumente, Empfangsbest?tigungen und Speicherung nur auf verschlüsselten Datentr?gern. Zu diesen Daten k?nnen geh?ren:
- Forschungsergebnisse, die bei vorzeitiger Ver?ffentlichung schwerwiegendsten Schaden verursachen k?nnen
- Besondere Daten bei Industriekooperationen, für die vertraglich die h?chsten Sicherheitsvorkehrungen festgelegt wurden
- medizinische Daten, die unter das Humanforschungsgesetz fallen.
STRENG VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).
Klassifikation aufgrund des Risiko-Potenzials
Die Klassifikation erfolgt in erster Linie risikobasiert (vgl. Anhang 1b, Weisung ?Informationssicherheit an der ETH Zürich?), was auch die oben angegebenen Definitionen der vier Klassifizierungsstufen verdeutlichen. Die Stufe der Vertraulichkeit leitet sich also von dem Risiko her, das für die ETH eintritt, sollte die entsprechende Information in die H?nde von Unberechtigten gelangen. Das Risiko gibt damit den Rahmen für die Schutzmassnahmen vor, die notwendig sind, um die Vertraulichkeit zu gew?hrleisten.
Weitere g?ngige Beispiele, wie welcher Typ von Daten klassifiziert werden sollte, sowie Vorgaben zum Schutz entsprechend gekennzeichneter Daten sind in den Anh?ngen der Weisung Informationssicherheit aufgelistet. In Anhang 1a befindet sich eine Liste mit Beispielen für die Klassifizierung von Informationsbest?nden. Anhang 1c zeigt auf, wie die Kennzeichnung der Informationsbest?nde auf unterschiedlichen Informationstr?gern erfolgen kann.
Der Umgang mit klassifizierten Informationen, und damit die anzuwendenden notwendigen Schutzmassnahmen, werden in Anhang 2 detailliert dargestellt.
Vorteile des neuen Systems
Das erweiterte Klassifizierungssystem bietet viele Vorteile, insbesondere, weil die technischen Herausforderungen in der digital vernetzten Welt, und vor allem bei der Nutzung von Cloud-Diensten, einen differenzierteren Umgang mit Informationen vonn?ten machen.
In Bezug auf die Nutzung von Cloud-Services wird damit die M?glichkeit geschaffen, Daten, die in die neuen Klassifizierungsstufen ?vertraulich? und ?intern? eingestuft sind, in streng geprüften externen Cloud-Diensten mit entsprechenden Sicherheits- und Datenschutz-Standards zu speichern und zu bearbeiten. Die Verantwortung für die Auslagerung der Daten in die Cloud verbleibt dabei bei den Informationseignenden. Die Regelungen dafür finden sich in den ?IT-Richtlinien und IT-Grundschutzvorgaben der ETH Zürich?.
?bergangsbestimmungen
Für die Anwendung des neuen Klassifizierungssystems gelten folgende ?bergangbestimmungen:
- Ab 1. Dezember 2021 sollen die Klassifizierungsstufen verbindlich für alle neu entstehenden Dokumente eingesetzt werden. Es werden Templates für g?ngige Office-Dokumente zur Verfügung gestellt (z.B. Berichte, Briefe, Traktandenliste, Pr?sentationen).
- Für bereits bestehende Informationsbest?nde sollen ab 1. Dezember 2023 auch alte Dokumente durch die Informationseignerinnen und -eigner an das neue Klassifizierungssystem angepasst sein. Es obliegt diesen Personen zu prüfen, ob insbesondere Informationen, die bereits als ?VERTRAULICH? klassifiziert wurden, für den Klassifizierungsvermerk ?STRENG VERTRAULICH? qualifizieren.
Wo finde ich Informationen zu...?
- Eine Einführung zu den neuen Regelungen zur Klassifizierung finden Sie im Intern aktuell-Artikel ?Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu?.
- Einen ?berblick über die neuen Regelungen zur Nutzung von Cloud-Diensten erhalten Sie hier: ?Sichere Nutzung der Cloud: Wann dürfen vertrauliche Daten in externe Cloud-Dienste??
- Regelung zur richtigen Klassifizierung der Vertraulichkeit von Daten: Weisung ?Informationssicherheit an der ETH Zürich?
- Regeln zur Nutzung von Cloud-Diensten: ?IT-Richtlinien und IT-Grundschutzvorgaben der ETH Zürich?
- Informationen zur Nutzung von IT-Mitteln und -Infrastruktur der ETH: Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich (BOT)